Le 1er janvier 2019, le commissaire à la protection de la vie privée du Canada commencera à appliquer les Lignes directrices pour l’obtention d’un consentement valable, qui imposent des exigences et fournissent des recommandations aux organisations du secteur privé relativement à l’obtention d’un consentement légalement valide pour la collecte, l’utilisation et la communication des renseignements personnels. Les Lignes directrices énoncent des exigences quant à la forme et au contenu des politiques et avis de confidentialité et à l’élaboration de processus de consentement clairs et accessibles. Les organisations du secteur privé devront passer en revue et modifier si nécessaire leurs politiques et avis de confidentialité, leurs politiques de consentement et leurs pratiques et procédures de gestion des renseignements personnels pour être en mesure de prouver leur conformité aux Lignes directrices.

Principes directeurs

Les lois sur la protection des renseignements personnels applicables au secteur privé canadien — la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (« LPRPDE »), la Personal Information Protection Act de l’Alberta (en anglais seulement), la Personal Information Protection Act de la Colombie-Britannique (en anglais seulement) et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec — sont fondées sur les principes relatifs à l’équité dans le traitement des renseignements reconnus internationalement. Ces principes directeurs comprennent notamment la transparence, la détermination des fins et le consentement.

  • Transparence : Les organisations doivent faire preuve de transparence à l’égard de leurs politiques et pratiques de gestion des renseignements personnels et permettre aux personnes intéressées d’avoir facilement accès à de l’information compréhensible à leur sujet.
  • Détermination des fins : Les organisations doivent informer toutes les personnes dont elles recueillent les renseignements personnels (oralement ou par écrit) des fins de la collecte, de l’utilisation et de la communication des renseignements avant la collecte ou au moment de celle-ci.
  • Consentement : Toute personne intéressée doit donner son consentement éclairé à la collecte, à l’utilisation et à la communication de ses renseignements personnels, sauf dans un nombre limité de circonstances où le consentement est inapproprié.

La LPRPDE prévoit en outre qu’un consentement n’est valide que s’il est raisonnable de s’attendre à ce que la personne comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elle consent.

Politiques et avis de confidentialité

De nombreuses organisations utilisent les politiques et avis de confidentialité comme principal moyen d’obtenir un consentement éclairé à leurs pratiques de gestion des renseignements personnels et de remplir leurs obligations en vertu des principes de transparence et de détermination des fins. Les précédents commissaires à la protection de la vie privée du Canada ont produit des lignes directrices pour aider les organisations du secteur privé à mettre en œuvre des politiques de confidentialité efficaces. Par exemple : Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée (octobre 2013); Bulletin d’interprétation : Forme de consentement (mars 2014); Lignes directrices en matière de consentement en ligne (en anglais seulement) etFoire aux questions en matière de consentement en ligne (mai 2014); Dix conseils pour faire connaître les pratiques en matière de protection de la vie privée aux utilisateurs de votre application (septembre 2014) et Bulletin d’interprétation : Transparence (août 2015).

On trouve également des renseignements utiles sur les politiques de confidentialité et les questions s’y rapportant dans les rapports d’enquête du commissaire, dont le Rapport de conclusions d’enquête et les Leçons à tirer pour toutes les organisations de l’enquête sur le piratage des données d’Ashley Madison.

Lignes directrices pour l’obtention d’un consentement valable

En mai 2018, le Commissariat à la protection de la vie privée du Canada et les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont produit conjointement les Lignes directrices pour l’obtention d’un consentement valable (les « Lignes directrices »), un document d’orientation pratique et concret conçu pour aider les organisations du secteur privé à obtenir un consentement légalement valide pour la collecte, l’utilisation et la communication des renseignements personnels. Les Lignes directrices critiquent « l’utilisation de longs énoncés légalistes des politiques de confidentialité » qui rendent trop souvent « illusoire » le contrôle individuel rendu possible par le consentement. Les exigences et les pratiques optimales énoncées dans les Lignes directrices visent à « donner un nouveau souffle » aux manières d’obtenir le consentement.

Principes directeurs

Les Lignes directrices définissent sept principes que les organisations du secteur privé doivent respecter pour obtenir un consentement valable.

  • Mettre l’accent sur les éléments clés : Pour que le consentement soit valide, les organisations doivent fournir aux personnes intéressées des renseignements complets, facilement accessibles et compréhensibles sur leurs pratiques de confidentialité. De l’information « enfouie dans une politique de confidentialité ou des modalités d’utilisation n’est en réalité d’aucune utilité » pour la plupart des gens. Les personnes intéressées doivent avoir facilement accès à l’information principale « au départ », dès qu’elles commencent à interagir avec une organisation. À cette fin, les organisations doivent de façon générale mettre davantage l’accent sur certains éléments clés : (1) les détails des renseignements personnels recueillis; (2) les tiers auxquels les renseignements personnels seront communiqués; (3) les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels; (4) tout risque résiduel important (supérieur à une possibilité minimale ou à une simple possibilité) de préjudice (notamment d’atteinte à la réputation) et toute autre conséquence pouvant découler de la collecte, de l’utilisation et de la communication des renseignements personnels.
  • Permettre aux personnes intéressées de choisir le niveau de détail de l’information et le moment où ils l’obtiennent : Les organisations doivent communiquer de l’information sur leurs pratiques de confidentialité de façon gérable et facilement accessible (possiblement par couches) aux personnes intéressées, qui doivent avoir la possibilité de déterminer le niveau de détail de l’information, et le moment où ils souhaitent l’obtenir (l’information doit être accessible ultérieurement).
  • Donner clairement aux individus la possibilité de choisir « oui » ou « non » : Les organisations doivent offrir aux personnes intéressées des choix clairs et facilement accessibles en matière de consentement à la collecte, à l’utilisation et à la communication des renseignements personnels lorsqu’elles vont au-delà de ce qui est nécessaire pour fournir le produit ou le service (sauf exception aux obligations générales de consentement). Le consentement sera explicite (positif) ou implicite (négatif) selon les circonstances.
  • Faire preuve d’innovation et de créativité : Les organisations doivent utiliser des processus de consentement novateurs adaptés aux circonstances, comme la présentation d’avis de confidentialité « juste à temps » durant la collecte de renseignements personnels, la présentation d’information sur la confidentialité au moyen d’outils interactifs et la présentation d’information sur la confidentialité au moyen d’interfaces mobiles personnalisées permettant de surmonter les contraintes de temps et d’espace liées à la taille des écrans d’appareils mobiles.
  • Prendre en compte la perspective du consommateur : Les organisations doivent appliquer des processus de consentement conviviaux, facilement accessibles sur tous les appareils utilisés (appareils mobiles, tablettes, consoles de jeu et ordinateurs), compréhensibles (explications claires et langage adapté) par toutes les personnes intéressées et adaptés à la nature du produit ou service en cause pour que les personnes visées puissent facilement connaître et comprendre les pratiques de gestion des renseignements personnels de l’organisation.
  • Faire du consentement un processus dynamique et continu : Les organisations devraient considérer le consentement comme un processus continu, dynamique et interactif qui ne se limite pas à la publication d’une politique de confidentialité. Elles devraient utiliser des outils interactifs ou dynamiques pour prévoir les questions des utilisateurs et y répondre, et fournir des rappels périodiques sur la confidentialité aux personnes intéressées. Les organisations doivent obtenir le consentement des personnes intéressées avant d’apporter des modifications importantes à leurs pratiques en matière de confidentialité, notamment l’utilisation de données à de nouvelles fins ou la communication de données à de nouveaux tiers. Les organisations devraient vérifier périodiquement la conformité de leurs pratiques de gestion des renseignements personnels aux politiques de confidentialité.
  • Être responsable : Les organisations doivent être en mesure de prouver que leurs processus de consentement sont assez compréhensibles pour que le consentement des personnes visées soit valide. Les mesures qu’une organisation doit prendre pour démontrer sa conformité dépendent de sa taille et de ses pratiques de gestion des renseignements personnels.

Questions connexes

Les Lignes directrices abordent également des questions connexes au consentement.

  • Forme de consentement : Les organisations doivent obtenir un consentement de forme appropriée selon les circonstances (explicite ou implicite) à l’égard des renseignements personnels. Le consentement doit habituellement être explicite, mais peut être implicite dans des circonstances très limitées. Les organisations doivent généralement obtenir un consentement explicite d’une personne intéressée si la collecte, l’utilisation ou la communication portent sur des renseignements sensibles, vont au-delà de ce à quoi une personne peut raisonnablement s’attendre ou créent un risque résiduel important de préjudice grave (y compris d’atteinte à la réputation).
  • Consentement et enfants : La capacité des enfants mineurs à donner un consentement valable à l’égard de leurs renseignements personnels dépend de leur maturité et de leur compréhension de la nature et des conséquences de leurs choix en matière de confidentialité. Un parent ou un tuteur légal peut consentir pour un enfant mineur incapable de donner un consentement valide. Le Commissariat à la protection de la vie privée du Canada considère qu’excepté certaines circonstances exceptionnelles, les enfants de moins de 13 ans ne peuvent donner de consentement valide à l’égard de leurs renseignements personnels, et qu’il faut obtenir le consentement de leurs parents ou tuteurs.
  • Fins acceptables : Les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels par une organisation doivent être définies et imitées à celles qu’une personne raisonnable estimerait acceptables. Les principes définissant les fins acceptables sont établis dans Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) (mai 2018).
  • Retrait du consentement : Les personnes intéressées ont le droit de retirer leur consentement à l’égard de leurs renseignements personnels, sous réserve des restrictions légales ou contractuelles. Les organisations doivent respecter leur décision. Le trait du consentement d’une personne intéressée peut rendre nécessaire la destruction des renseignements personnels recueillis précédemment.
  • Autres obligations : Le consentement n’atténue pas les autres obligations prévues par le droit de la protection de la vie privée, notamment les principes directeurs relatifs à la responsabilité, à la limitation de la quantité de données et aux mesures de sécurité.

Les Lignes directrices comprennent une liste de contrôle pratique qui résume « ce qui doit être fait » pour respecter les obligations légales et « ce qui devrait être fait » pour appliquer les pratiques optimales recommandées.

Commentaire

Les Lignes directrices correspondent globalement aux précédents documents d’orientation, mais imposent de nouvelles obligations quant à la forme et au contenu des politiques et avis de confidentialité et à l’offre de choix clairs et facilement accessibles en matière de collecte, d’utilisation et de communication de renseignements personnels allant au-delà de ce qui est nécessaire pour fournir des produits ou services. Les Lignes directrices seront vraisemblablement un outil d’application important pour la Direction de la conformité à la LPRPDE, qui a été fondée en 2018 pour enquêter sur les plaintes en vertu de la LPRPDE déposées par des particuliers et par le commissaire à la protection de la vie privée du Canada.

De nombreuses organisations devront vraisemblablement réviser leurs politiques et avis de confidentialité et modifier leurs pratiques et procédures de gestion des renseignements personnels pour respecter les Lignes directrices. Durant ce processus, les organisations devront tenir compte des autres obligations importantes du droit de la protection de la vie privée (ex. : disposer d’un cadre de sécurité de l’information approprié et documenté) et des nouvelles obligations de la LPRPDE concernant les atteintes à la sécurité, qui entreront en vigueur le 1er novembre 2018. Pour en savoir plus, consultez les bulletins de BLG suivants : Les mesures visant à faire respecter la réglementation font ressortir la nécessité de créer un cadre de gouvernance pour la sécurité des renseignements et Obligations canadiennes relatives aux atteintes à la sécurité des renseignements personnels : préparation à la conformité.

Auteurs

Bradley J. Freedman 
BFreedman@blg.com
604.640.4129

Katherine M. McNeill 
KMcNeill@blg.com
604.640.4150

Compétences

Respect de la vie privée et protection des renseignements personnels